De meerderheid van de Nederlandse bedrijven zegt niet goed (genoeg) te zijn voorbereid op een cyberaanval. Vooral de veiligheid van klant- en bedrijfsgegevens baart zorgen. De helft ligt wel eens wakker bij de gedachte dat onbevoegden hier toegang toe krijgen. Kennis, in de breedste zin van het woord, vormt hier de voornaamste bottleneck. Vooral het up-to-date houden van de beveiliging vormt een hele uitdaging. Bijna alle bedrijven hebben zorgen rondom IT-security. Slechts 7 procent zegt geen zorgen op dit gebied te hebben.
Dit blijkt uit de nieuwe Monitor Digitale Transformatie, een onderzoek waarin ook wordt ingezoomd op het thema IT-security. In opdracht van KPN peilde Blauw Research hoe managers die verantwoordelijk zijn voor de digitale transformatie binnen hun organisatie en ook zicht hebben op de security, hierover denken. IT-security heeft nu eindelijk de volle aandacht van de directie. Dit thema staat bij de meeste bedrijven (zeer) hoog op de agenda. In het algemeen geldt dat als de omvang van een bedrijf toeneemt, IT-security meer als topprioriteit wordt gezien. Grotere bedrijven kunnen vaak iemand in dienst nemen met kennis van cyberveiligheid.
Mkb niet bang voor hackers
Verder komt uit het onderzoek naar voren dat kleinere bedrijven, overigens ten onrechte, menen dat bij hen weinig valt te halen. 59 procent van de bedrijven met 5 tot 50 werknemers acht zichzelf geen interessante prooi voor hackers. Voor de bovenkant van het mkb ligt dat percentage op 53. “Een misvatting,” stelt Marieke Snoep, directeur Zakelijke Markt en lid RvB van KPN. “Want cybercriminelen slaan het mkb zeker niet over.”
Wel is de afgelopen jaren ook in het mkb het besef doorgedrongen dat de security beslist niet mag worden verwaarloosd. Vrijwel alle bedrijven hebben maatregelen ter bescherming van hun computers, netwerken en data genomen. Slechts 3 procent blijft volledig passief.
Meest populaire maatregelen
De genomen maatregelen lopen per bedrijf zeer uiteen. Het meest (41 procent) komt voor dat medewerkers regelmatig hun wachtwoord moeten veranderen. 38 procent zegt continu bezig te zijn met het up-to-date houden van software. De derde belangrijke maatregel is het trainen van medewerkers op het herkennen van nepmails en pogingen tot phishing. Ook tweefactorauthenticatie raakt steeds meer ingeburgerd.
Bij 29 procent van de bedrijven staat IT-security regelmatig op de agenda in de boardroom. Marieke Snoep vindt dat een gunstige ontwikkeling. Volgens haar kan het belang van IT-security niet voldoende worden onderstreept. Ze acht de kans dat een onderneming de dupe wordt van cybercriminaliteit aanzienlijk. “Veel ondernemers bereiden zich nog steeds te weinig voor op dit soort dreigingen. Terwijl de financiële schade enorm groot kan zijn, om nog maar niet te spreken van de imagoschade.”
IT-security onder de loep
Uit de enquête blijkt verder dat 26 procent van de bedrijven data versleutelt. 25 procent heeft de IT-security onder de loep laat nemen. Zo’n assessment laat de zwakke punten zien. Snoep adviseert om regelmatig te inventariseren welke hardware, software, netwerkverbindingen en data een bedrijf bezit en wat de kwetsbaarheden zijn. Op basis daarvan zijn beschermende maatregelen te nemen. “Een penetratietest of een vulnerability-scan kan inzichtelijk maken waar de risico’s liggen. KPN Security beschikt over een uitgebreid team van pentesters die snel de zwakke plekken blootleggen.”
Cyber Security Perspectives 2023
De nieuwste editie van het magazine Cyber Security Perspectives is nu beschikbaar.
DownloadInmiddels heeft 22 procent van de bedrijven een up-to-date draaiboek opgesteld over hoe te handelen bij een cyberaanval. Zo voorkom je dat kostbare tijd verloren gaat omdat niemand weet wat hij moet doen. Veel bedrijven hebben in de computer staan wie bij een aanval moet worden gebeld. Maar als zo’n systeem plat gaat, heb je daar natuurlijk niets aan. Dit soort zaken moet je van tevoren regelen. Het percentage dat regelmatig het noodplan oefent en weet wie moet worden ingeschakeld als het fout gaat, is 17 procent. Verder heeft 15 procent een ‘cyberverzekering’ afgesloten.
Grote bedrijven lopen voorop
Uit het onderzoek blijkt dat de grootste ondernemingen veruit de meeste beveiligingsmaatregelen hebben genomen. Het regelmatig veranderen van wachtwoorden, training van werknemers, continu patchen, tweefactorauthenticatie en security assessments komen bij de groep corporates aanzienlijk vaker voor.
Opvallend hoog is het percentage bedrijven dat meent goed beveiligd te zijn tegen cyberaanvallen: 73 procent. Maar op de vraag of men goed (genoeg) is voorbereid, antwoordt maar 23 procent ‘ja, erg goed’. Een meerderheid van 58 procent zegt: ‘Ja, maar het kan beter’. 14 procent geeft zichzelf een onvoldoende.
Voldoende budget voor security
Wel zegt bijna driekwart voldoende budget te hebben voor het optimaal inrichten van de security. Vooral bedrijven met 51 tot 150 werknemers kijken niet op een paar centen. 81 procent is het (zeer) eens met de stelling dat 100 procent beveiliging onmogelijk is.
Ook weet ongeveer twee derde van de bedrijven dat hybride werken het veiligheidsrisico vergroot. Opvallend is dat 38 procent van de ondervraagden verwacht dat hun bedrijf losgeld zou betalen aan hackers bij een cyberaanval.
Veel behoefte aan kennisdeling
Het merendeel van de bedrijven heeft behoefte aan kennisdeling over IT-security met sectorgenoten. Krachtenbundeling wordt als positief gezien. Dit spreekt Marieke Snoep bijzonder aan. Al jaren bepleit zij dat bedrijven onderling meer openheid van zaken geven. “De taboesfeer die rondom veiligheidsincidenten heerst moet worden doorbroken. Uit een soort misplaatste schaamte houdt iedereen hierover zijn mond”, zegt Snoep. “En dat is verkeerd, want juist op gebied van cybersecurity kunnen we veel van elkaar leren.”
Een overgrote meerderheid heeft behoefte aan externe ondersteuning om de IT-security op een hoger niveau te brengen. Vooral kennis en ervaring bij het inrichten van systemen worden gevraagd, maar ook hulp bij het trainen van medewerkers.
